Cloudflare wehrt Rekord-DDoS-Angriff mit 11,5 Terabits pro Sekunde ab
Das Sicherheitsunternehmen blockierte automatisch die bislang stärkste bekannte volumetrische Attacke. Der Angriff dauerte etwa 35 Sekunden und stammte hauptsächlich von Google-Cloud-Servern.
Cloudflare hat nach eigenen Angaben einen DDoS-Angriff mit einer Rekordstärke von 11,5 Terabits pro Sekunde (Tbps) automatisch abgewehrt. Das Webinfrastruktur- und Sicherheitsunternehmen teilte am Dienstag auf X mit, dass es in den vergangenen Wochen Hunderte hypervolumetrischer DDoS-Attacken autonom blockiert habe. Die stärkste Attacke erreichte dabei Spitzenwerte von 5,1 Milliarden Paketen pro Sekunde (Bpps) und eben jene 11,5 Tbps.
Laut Cloudflare handelte es sich bei dem Rekordangriff um eine UDP-Flood-Attacke, die hauptsächlich von Google Cloud-Servern ausging. Der gesamte Angriff dauerte nur etwa 35 Sekunden. Das Unternehmen erklärte, seine „Abwehrsysteme hätten Überstunden geleistet“.
Volumetrische Angriffe als wachsende Bedrohung
Volumetrische Angriffe als wachsende Bedrohung
Volumetrische DDoS-Angriffe zielen darauf ab, Zielserver mit einer Flut von Datenverkehr zu überlasten und dadurch Verlangsamungen oder komplette Ausfälle zu verursachen. Diese Attacken führen typischerweise zu Netzwerküberlastungen, Paketverlusten und Serviceunterbrechungen. Bei diesen Angriffen werden die Anfragen meist über Botnets verschickt, die bereits unter der Kontrolle der Cyberkriminellen stehen, nachdem Computer, IoT-Geräte und andere Maschinen mit Schadsoftware infiziert wurden.
Wie das Sicherheitsunternehmen Akamai in einer Erklärung ausführt, bestehe die anfängliche Auswirkung volumetrischer Angriffe darin, Überlastungen zu schaffen, die die Leistung von Netzwerkverbindungen zum Internet, zu Servern und Protokollen beeinträchtigen und möglicherweise Ausfälle verursachen. Angreifer könnten volumetrische Attacken jedoch auch als Tarnung für ausgefeiltere Exploits nutzen, die als „Smoke Screen“-Angriffe bezeichnet werden. Während Sicherheitsteams intensiv daran arbeiten, den volumetrischen Angriff abzuwehren, könnten Angreifer zusätzliche mehrvektorige Attacken starten, die es ihnen ermöglichen, heimlich in die Netzwerkverteidigung einzudringen, um Daten zu stehlen, Geld zu transferieren, auf wertvolle Konten zuzugreifen oder weitere Schäden anzurichten.
Dramatischer Anstieg hypervolumetrischer Attacken
Die aktuelle Attacke übertrifft einen früheren Rekord von Cloudflare, bei dem das Unternehmen Mitte Mai 2025 einen DDoS-Angriff mit einem Spitzenwert von 7,3 Tbps gegen einen ungenannten Hosting-Anbieter blockierte. Im Juli 2025 berichtete Cloudflare außerdem, dass hypervolumetrische DDoS-Angriffe – L3/4-DDoS-Attacken mit mehr als einer Milliarde Paketen pro Sekunde oder einem Tbps – im zweiten Quartal 2025 stark angestiegen seien. Die Zahl erreichte einen neuen Höchststand von 6500 Angriffen im Vergleich zu 700 hypervolumetrischen DDoS-Attacken im ersten Quartal 2025.
RapperBot-Botnet als Beispiel für IoT-basierte Angriffe
Parallel zu diesen Entwicklungen hat das Cybersicherheitsunternehmen Bitsight Details zur RapperBot-Angriffskette veröffentlicht, die Network Video Recorder (NVRs) und andere IoT-Geräte ins Visier nimmt, um sie in ein Botnet einzugliedern, das DDoS-Angriffe durchführen kann. Die Botnet-Infrastruktur wurde letzten Monat im Rahmen einer Strafverfolgungsoperation zerschlagen.
Laut der von Bitsight dokumentierten Attacke sollen die Cyberkriminellen Sicherheitslücken in NVRs ausgenutzt haben, um ersten Zugang zu erlangen und die nächste Stufe der RapperBot-Payload herunterzuladen. Dies geschah durch das Mounten eines entfernten NFS-Dateisystems („104.194.9[.]127“) und dessen Ausführung. Der Angriff nutzte eine Path-Traversal-Schwachstelle im Webserver, um gültige Administrator-Zugangsdaten zu erlangen, und verwendete diese dann, um ein gefälschtes Firmware-Update zu übertragen, das eine Reihe von Bash-Befehlen ausführte, um das Share zu mounten und die RapperBot-Binary entsprechend der Systemarchitektur auszuführen.
Wie Sicherheitsforscher Pedro Umbelino erklärte, sei es kein Wunder, dass die Angreifer NFS-Mount und -Ausführung von diesem Share wählten, da die NVR-Firmware extrem begrenzt sei. Das Mounten von NFS sei daher eine sehr clevere Wahl. Dies bedeute jedoch, dass die Angreifer diese Marke und dieses Modell gründlich erforschen und einen Exploit entwickeln mussten, der unter diesen begrenzten Bedingungen funktionieren könnte.
Die Schadsoftware ruft anschließend DNS-TXT-Records ab, die mit einer Reihe fest codierter Domains („iranistrash[.]libre“ und „pool.rentcheapcars[.]sbs“) verknüpft sind, um die tatsächliche Liste der Command-and-Control-Server-IP-Adressen zu erhalten. Diese C2-IP-Adressen werden wiederum einer C2-Domain zugeordnet, deren vollständiger Domain-Name mithilfe eines vereinfachten Domain Generation Algorithm (DGA) generiert wird, der aus einer Kombination von vier Domains, vier Subdomains und zwei Top-Level-Domains besteht.
RapperBot stellt schließlich eine verschlüsselte Verbindung zur C2-Domain mit einem gültigen DNS-TXT-Record her und erhält von dort die notwendigen Befehle zur Durchführung von DDoS-Angriffen. Die Schadsoftware kann auch dazu verwendet werden, das Internet nach offenen Ports zu scannen, um die Infektion weiter zu verbreiten. Laut Bitsight ist die Methodik der Angreifer einfach: „Das Internet nach alten Edge-Geräten wie DVRs und Routern scannen, Brute-Force-Angriffe oder Exploits durchführen und sie dazu bringen, die Botnet-Malware auszuführen. Persistenz ist eigentlich nicht nötig, einfach scannen und infizieren, immer und immer wieder.“